KI vs. Cyberabwehr: Wenn Angreifer schneller wachsen als die Verteidiger

Im Jahr 2024 genehmigte ein Mitarbeiter der Finanzabteilung eines multinationalen Unternehmens eine Zahlung in Höhe von 25 Millionen Dollar, nachdem er einen scheinbar echten Videoanruf von seinem CEO erhalten hatte. Die Stimme, das Gesicht und der Kontext wirkten authentisch, waren es aber nicht. Es handelte sich um einen Deepfake: eine synthetische, KI-generierte Nachahmung, die von der Realität nicht zu unterscheiden war. Dieser Vorfall war kein Einzelfall, sondern stand stellvertretend für die Beschleunigung eines umfassenderen Trends: KI-gestützte Cyberkriminalität breitet sich schneller aus, als herkömmliche Abwehrmaßnahmen darauf reagieren können.

KI ist nicht nur ein weiterer Angriffsvektor. Sie ist ein Kraftmultiplikator, der die Einstiegshürde für Angreifer senkt und die Raffinesse, das Ausmaß sowie die Erfolgsquote böswilliger Kampagnen erhöht. Als Reaktion darauf müssen sich Sicherheitsstrategien exponentiell anpassen.
 

Generative KI in den Händen von Angreifern
Während KI ein enormes Potenzial für Innovation und Effizienz birgt, hat ihre Nutzung durch böswillige Akteure ebenso rasant zugenommen. Allein in den letzten zwei Jahren hat IBM X-Force weltweit einen Anstieg des Phishing-Aufkommens um 1000 % verzeichnet, wobei ein Großteil dieses Wachstums auf KI-generierte Inhalte zurückzuführen ist. Angreifer benötigen keine Sprachkenntnisse, keine Social-Engineering-Kenntnisse und nicht einmal Zugang zu teuren Malware-Entwicklungskits mehr. Ein einziges generatives Modell kann nun innerhalb von Sekunden Tausende maßgeschneiderter Phishing-Nachrichten verfassen, komplett mit unternehmensspezifischer Sprache.

In vielen Fällen sind diese Nachrichten nicht nur sprachlich einwandfrei, sondern auch kontextbezogen intelligent. Sie ahmen den Tonfall von Führungskräften nach, beziehen sich auf kürzlich stattgefundene Besprechungen und richten sich je nach Rolle, Region oder Zugriffsebene an bestimmte Personen. Das Ergebnis: eine drastische Steigerung der Erfolgsquote und ein deutlicher Rückgang der Erkennungsrate durch die Nutzer.  

Doch Phishing ist nur der Anfang. Technologien zum Klonen von Stimmen werden mittlerweile eingesetzt, um synthetische Audio-Imitationen von Führungskräften zu erstellen. Deepfake-Videos werden in Echtzeit eingesetzt, um betrügerische Transaktionen zu legitimieren oder Entscheidungen auf Vorstandsebene zu beeinflussen. KI-generierte Malware wird innerhalb von Minuten geschrieben, getestet und erneut eingesetzt, wobei die Code-Varianten so gestaltet sind, dass sie signaturbasierte Erkennung umgehen. Kurz gesagt: Die Cyberkriminalität hat sich industrialisiert.

KI-Verstärkung
Im Zentrum dieses Wandels steht das Konzept der „KI-Verstärkung“ – der Synergieeffekt, der entsteht, wenn künstliche Intelligenz auf Cyberbedrohungsaktivitäten angewendet wird und dadurch die Sicherheitsrisiken durch KI verstärkt werden. Was früher ein Team aus erfahrenen Spezialisten wochenlang vorbereiten musste, kann nun von einem einzigen Akteur mithilfe weniger Eingabeaufforderungen und eines handelsüblichen Modells orchestriert werden. Aufgaben wie Code-Verschleierung, Schwachstellenscans und Benutzerprofilierung werden in einem bisher ungekannten Ausmaß automatisiert.

Was die KI-Verstärkung besonders gefährlich macht, ist ihre Anpassungsfähigkeit. Im Gegensatz zu vorprogrammierten Angriffen können sich KI-generierte Bedrohungen während der Ausführung weiterentwickeln, wodurch sich das Spektrum der KI-Sicherheitsrisiken weiter vergrößert. So kann sich beispielsweise eine KI-basierte Phishing-Kampagne anhand der Interaktionsmuster der Nutzer kontinuierlich verbessern. Manche Malware passt ihre Vorgehensweise mittlerweile an das infizierte Gerät an und überwacht dabei den Systemzustand, installierte Sicherheitstools oder das Nutzerverhalten, um zu entscheiden, wann und wie sie ausgeführt wird. Sogar gefälschte Stimmen können ihren Tonfall mitten im Gespräch ändern, um Stress oder Dringlichkeit vorzutäuschen.

Warum die Sicherheitsmaßnahmen hinterherhinken
Trotz wachsender Sensibilisierung sind viele Unternehmen nach wie vor schlecht gerüstet, um diesem Wandel entgegenzuwirken. Dafür gibt es vier Gründe:

• Erstens sind die meisten Erkennungssysteme nicht darauf ausgelegt, durch KI generierte Bedrohungen zu identifizieren. Signaturbasierte Tools sind zwar nach wie vor nützlich, versagen jedoch bei der Erkennung von polymorpher Malware oder synthetisch erstellten Phishing-Nachrichten, die von bekannten Vorlagen abweichen. Selbst fortschrittliche Verhaltensanalysen haben Schwierigkeiten, Deepfakes zu erkennen, die über legitime Kollaborationsplattformen verbreitet werden. 
• Zweitens sind Security Operations Center (SOCs) überlastet. Die Vielzahl an Warnmeldungen, von denen viele Fehlalarme sind, beansprucht wertvolle Zeit der Analysten. Wenn echte Bedrohungen auftreten – insbesondere neuartige oder selten vorkommende –, gehen diese oft unter. Und obwohl KI dazu beitragen kann, diese Belastung zu verringern, setzt derzeit nur eine Minderheit der SOCs KI-gestützte Analysen in großem Maßstab ein. 
• Drittens wächst die Qualifikationslücke. Unternehmen sehen sich mit anhaltendem Personalmangel im Bereich Cybersicherheit konfrontiert, wobei insbesondere Fachwissen im Bereich KI rar ist. Jüngsten Daten zufolge geben über 50 % der CISOs an, dass ihren Teams die Fähigkeiten fehlen, KI-gestützte Bedrohungen zu erkennen oder abzuwehren. Darüber hinaus wird die Integration der jüngeren Generation in die Belegschaft die Gefahr durch vom Menschen verursachte Risiken erhöhen. So gaben beispielsweise unter den Beschäftigten in den Vereinigten Staaten nur 31 % der Generation Z an, sich sicher zu fühlen, Phishing-Versuche zu erkennen, während 72 % zugaben, am Arbeitsplatz mindestens einen Link geöffnet zu haben, der verdächtig erschien – mehr als bei jeder älteren Generation. 
• Schließlich spielt auch die strukturelle Trägheit eine Rolle. Bei Sicherheitsinvestitionen wird oft die Einhaltung gesetzlicher Vorschriften gegenüber der Anpassungsfähigkeit an Bedrohungen priorisiert. Sicherheitsrahmenwerke werden jährlich überprüft, während Angreifer täglich neue Methoden entwickeln.
  Das Ergebnis ist ein strategischer Nachteil. Während sich Unternehmen schrittweise anpassen, entwickeln sich Angreifer kontinuierlich weiter.
   

Drei Bedrohungsszenarien, mit denen Unternehmen derzeit konfrontiert sind
1. KI-gestütztes Phishing in großem Maßstab
In zahlreichen Branchen haben sich Phishing-Kampagnen von plumpen, allgemeinen E-Mails zu präzise ausgearbeiteten Ködern gewandelt. KI-Modelle, die auf internen Daten – aus früheren Sicherheitsvorfällen, Pressemitteilungen und Biografien von Führungskräften – trainiert wurden, erstellen Nachrichten, die sowohl technische Filter als auch die Skepsis der Menschen umgehen. In vielen Fällen handelten Mitarbeiter nicht aus Unachtsamkeit, sondern weil die Nachrichten einfach zu überzeugend waren.

• Die E-Mails entsprechen in Sprache und Formatierung perfekt dem Stil des Unternehmens. 
• Betreffzeilen und Zeitpunkte werden auf interne Ereignisse abgestimmt. 
• Die Personalisierung geht mittlerweile über Namen hinaus und umfasst auch Berufsbezeichnungen und die Besprechungshistorie. 

2. Betrug mithilfe von Deepfakes
Angriffe durch Identitätsbetrug unter Verwendung von Deepfakes nehmen immer mehr zu. Zielpersonen sind in der Regel Fachkräfte aus den Bereichen Finanzen oder Personalwesen, die aufgefordert werden, dringend auf eine scheinbar live übertragene Videobotschaft oder eine Voicemail einer Führungskraft zu reagieren. Der psychologische Druck in Verbindung mit visuellen oder akustischen Hinweisen führt oft dazu, dass die Aufforderung befolgt wird. Der Erfolg dieser Angriffe beruht nicht auf technologischer Brillanz, sondern auf dem Vertrauen, das Nutzer in vertraute Formate wie Videoanrufe, Sprachnachrichten oder interne Kommunikationskanäle setzen.

• Echtzeit-Deepfake-Anrufe zielen zunehmend auf mobile Messaging-Apps ab. 
• Audio-Deepfakes werden eingesetzt, um Sprachverifizierungssysteme zu umgehen. 
• Angreifer kombinieren Deepfakes häufig mit E-Mail- oder Chat-Kontexten, um den Eindruck von Authentizität zu erwecken. 
   

Eine ähnliche Bedrohung besteht im Einsatz von KI zur Erzeugung vollständig synthetischer digitaler Identitäten, komplett mit gefälschten E-Mail-Korrespondenzen, LinkedIn-Profilen und sogar Stimmabdrücken. Diese werden genutzt, um in Organisationen einzudringen, Zugriff auf gesperrte Systeme zu erlangen oder im Laufe der Zeit in Lieferketten-Ökosystemen Glaubwürdigkeit aufzubauen. Diese Bedrohung ist besonders relevant für Organisationen mit dezentralem Onboarding, Richtlinien für den Fernzugriff oder Lieferkettenportalen von Drittanbietern.

• Angreifer erstellen „Scheininhaber“, um sich bei Lieferantenportalen anzumelden oder Zugriff zu beantragen. 
• Es wurden gefälschte Identitäten entdeckt, die über Beschaffungsteams B2B-Betrugsversuche initiieren. 
• KI-generierte Bilder und Lebensläufe werden verwendet, um sich auf Remote-Stellen in sensiblen Bereichen zu bewerben. 

3. Generative Malware und schwer zu erkennende Payloads
KI-generierteMalwarewird bereits in freier Wildbahn beobachtet. Diese Payloads werden nicht nur schnell erstellt – sie sind darauf ausgelegt, zu mutieren. Einige können sich selbst gegen Sicherheitstools testen und ihre Signaturen in Echtzeit anpassen. Andere verfügen über eine integrierte Logik, um zu erkennen, ob sie in einer Sandbox ausgeführt werden, und verzögern die Ausführung, bis die Bedingungen „sicher“ sind. Für herkömmliche Antiviren- oder EDR-Tools stellen solche Bedrohungen eine erhebliche Herausforderung dar.

• Die Verschleierung von Malware wird nun dynamisch generiert und ständig aktualisiert. 
• Einige Varianten nutzen KI, um einer Erkennung gezielt nur in überwachten Umgebungen zu entgehen.
• Offensive KI-Tools wie WormGPT senken die Hürde für das Schreiben von Code, der Erkennung entgeht.

Wie Unternehmen auf Sicherheitsrisiken im Zusammenhang mit KI reagieren können
Die Bewältigung solcher Bedrohungen im KI-Maßstab erfordert einen grundlegenden Umdenkprozess. Es geht nicht mehr nur darum, Bedrohungen einzudämmen, sondern proaktiv zu handeln, um ihnen zuvorzukommen. Bedenken Sie Folgendes:

• Moderne Bedrohungserkennung mit integrierter KI: Sicherheitsplattformen, die maschinelles Lernen und Verhaltensanalysen nutzen, können subtile Anomalien erkennen, beispielsweise wenn sich eine Führungskraft zu einer ungewöhnlichen Uhrzeit anmeldet oder ein Gerät unerwartet große Datenmengen hochlädt. Diese Tools sind zwar keine Wundermittel, bilden jedoch eine unverzichtbare Grundlage für schnelles und skalierbares Handeln. In Zukunft werden KI-Agenten und Menschen eng zusammenarbeiten, um der Bandbreite künftiger Angriffe entgegenzuwirken. 
• Resilienz durch Sensibilisierung: Menschliche Nutzer sind nach wie vor sowohl eine Schwachstelle als auch eine Stärke. Aktualisierte Sensibilisierungsprogramme müssen nun Schulungen zu synthetischen Medien, zur Erkennung von Deepfakes und zu KI-gestütztem Social Engineering umfassen. Das Ziel ist nicht, Paranoia zu schüren, sondern kritisches Denken zu fördern: Vertrauen ist gut, Kontrolle ist besser – insbesondere, wenn die Anfrage von einer vertrauten Stimme oder einem vertrauten Gesicht kommt. 
• Zero Trust als Standard: Zero-Trust-Frameworks, über die schon lange diskutiert wird, sind mittlerweile unverzichtbar. Die kontinuierliche Überprüfung von Benutzern, Geräten und Datenflüssen verhindert, dass Angreifer sich innerhalb des Sicherheitsperimeters seitlich ausbreiten können. Multi-Faktor-Authentifizierung (MFA), bedingter Zugriff und Mikrosegmentierung sollten nicht länger optional sein. 
• Integrierte Bedrohungsinformationen: Um die Vorgehensweisen von Angreifern zu verstehen, reicht interne Telemetrie allein nicht aus. Die Integration mit Echtzeit-Feeds zu Bedrohungsinformationen – insbesondere solchen, die KI-gestützte Tools und Aktivitäten im Dark Web verfolgen – liefert den Sicherheitsverantwortlichen den nötigen Kontext, um zu handeln, bevor Vorfälle eskalieren. Auch branchenübergreifende Kooperationsrahmen werden dabei eine entscheidende Rolle spielen. 
   

Einen Einblick, wie die Zukunft in der Praxis aussehen könnte, lieferte kürzlich das KI-gestützte „Big Sleep“-System von Google, das die Ausnutzung einer kritischen SQLite-Sicherheitslücke verhinderte, noch bevor Angreifer zuschlagen konnten. Auch wenn diese Technologie noch nicht öffentlich verfügbar ist, verdeutlicht sie die nächste Entwicklungsstufe der Cyberabwehr – KI-Systeme, die in der Lage sind, Bedrohungen autonom zu erkennen und zu neutralisieren, oft noch bevor ein menschliches Eingreifen überhaupt möglich ist. Solche Entwicklungen weisen auf eine Zukunft hin, in der proaktive, sich selbst verteidigende Architekturen zum Standard werden und die Cyberabwehr von einer reaktiven Reaktion hin zu intelligenter Vorausschau wandeln.

Die Lücke schließen – jetzt ist der richtige Zeitpunkt
Das Wettrüsten im Bereich der Cybersicherheit ist in eine neue Phase eingetreten. KI hat das Kräfteverhältnis zugunsten der Angreifer verschoben und eine neue Ära von Sicherheitsrisiken im Zusammenhang mit KI eingeläutet, doch diese Verschiebung ist nicht von Dauer. Unternehmen, die jetzt handeln, indem sie moderne Erkennungsmethoden einsetzen, das Bewusstsein ihrer Mitarbeiter schärfen und strategische Partner einbinden, können die Initiative zurückgewinnen.

Das Zeitfenster für Anpassungen ist eng. Aber die Chance liegt auf der Hand.

Bei Getronics arbeiten wir bereits mit Unternehmen aus den Bereichen Finanzen, Gesundheitswesen, Fertigung und öffentlicher Sektor zusammen, um KI-fähige Sicherheitslösungen zu entwickeln. Wir laden Sie ein, sich ihnen anzuschließen.

Kontaktieren Sie uns oder laden Sie unser whitepaper für Führungskräfte herunter, whitepaper erfahren, wie Ihr Unternehmen Schwachstellen in Stärken verwandeln kann.

Begegnen wir der Automatisierung mit Automatisierung und lassen wir uns gemeinsam durchsetzen.